安全認證電話成首選安全認證

本文格式為Word版，下載可任意編輯——安全認證，電話成首選安全認證裁減IT安好要挾和強化管控的要求推動了多因子認證應用的進展。新的和升級版本的多因子認證產(chǎn)品也越來越多地使用基于電話的認證來代替原先主導市場的安好令牌認證。根據(jù)信息安好和分析公司GoodeIntelligence的分析，到2022年，基于電話的認證將占據(jù)多因子認證市場61%的份額。

一、什么是基于電話的多因子認證

認證是計算機系統(tǒng)主動識別用戶的過程，是今天計算機安好最薄弱的環(huán)節(jié)之一。由于脆弱的信任機制，偽造信任引起的計算機攻擊和網(wǎng)絡欺詐行為每天都在發(fā)生。隨著企業(yè)間的遠程訪問、云計算、電子商務和網(wǎng)上銀行應用的不斷增加，這些故事還將持續(xù)發(fā)生。僅僅依靠用戶名和密碼的認證系統(tǒng)存在一系列的缺乏，眾所周知的如弱密碼、利用鍵盤記錄軟件盜取密碼、網(wǎng)絡仿冒和中間人攻擊等等。

多因子認證為用戶登陸和交易增加了關鍵的其次個安好層，它的使用要求得志以下兩個或兩個以上條件：

1.你知道的事情（密碼是典型代表）

2.你有的物品（不易復制的可信硬件）

3.你自己的特征（生理特征）

多因子認證的安好性在于其分層的訪問。多個認證因子的綜合運用使得攻擊者面臨重大的挑戰(zhàn)。由于即便攻擊者設法獲取用戶的密碼，沒有可信設備同樣毫無用處。反之，假設用戶不提防損失了設備，除非知道用戶密碼，否那么撿到的人也無法使用。

目前，安好令牌還是多因子認證系統(tǒng)的主導，譬如RSA的SecurID。安好令牌利用硬件的令牌生成一個一次性的密碼，用戶在登陸界面中輸入這個一次性的密碼，從而證明自己是這個可信設備的全體者。盡管安好令牌比單因子認證多了一個安好層，但增加了IT部門和終端用戶的攜帶負擔。此外，更繁雜的、能夠攻破安好令牌的要挾也已經(jīng)展現(xiàn)了。

基于電話的認證系統(tǒng)以用戶的電話作為可信設備，充當其次個認證因子。由于電話分外難以復制，而且電話號碼也極其難以攔截，所以用戶名密碼再加上電話就能構(gòu)建堅韌的多因子認證系統(tǒng)，而且對用戶的影響也最小。

二、基于電話的多因子認證的認證方式

基于電話的多因子認證運用多種帶外方法（電話、短信和推送）和OATH密碼，對用戶舉行認證，具有平臺統(tǒng)一和高度生動的特征。對于特定的用戶和風險級別，還可以選用額外的安好措施，如PIN模式、聲波紋和交易確認等。

電話：自動拔打用戶電話，確認設備掌管在合法用戶的手中，用戶接聽電話后按下特定的按鍵，如“#”鍵舉行認證。

短信：向用戶手機發(fā)送一條包含一次性密碼的短信，用戶用該密碼回復短信舉行認證。

推送：向用戶智能手機或平板中安裝的APP推送通知消息，用戶點擊APP中的“認證”按鈕舉行認證。

OATH密碼：用戶在登陸界面中輸入移動應用或第三方OATH令牌供給的密碼舉行認證。

PIN模式和聲波紋：要求用戶對一個私有PIN舉行驗證以確保用戶是手機的合法全體者。對于三因子認證，要求用戶在電話中回復出私有口令以對其聲波紋舉行驗證。先進的聲音生物技術可以對聲波紋舉行精確、穩(wěn)當?shù)恼J證。

欺詐警告：假設用戶收到的登陸或交易確認苦求認證不是由自己發(fā)起的，只要在電話或短信中簡樸地輸入特定內(nèi)容，如“110#”或在手機應用中點擊“拒絕并舉報”按鈕，就能鎖定賬戶并向公司防欺詐部門發(fā)出警告。

三、基于電話的多因子認證的優(yōu)勢

采用常用的電話作為登陸和交易的安好保障，能給終端用戶和IT部門帶來一系列的好處。與其它方案相比，能給用戶帶來無與倫比的便利性，對企業(yè)、政府部門、醫(yī)療組織和金融機構(gòu)來說，也有本金低廉和安好的優(yōu)勢，并且構(gòu)建輕易、部署急速、后期維護少。

（一）吸引用戶

電話天生就是用戶友好的設備，即使行動不便的人也能使用。我們每個人都知道如何使用電話，所以也不需要對終端用戶舉行培訓。

手機現(xiàn)在已成為大多數(shù)人每天生活都不成或缺的組成片面。假設手機沒帶在身上的話，我們甚至都不敢離開手機走到其它的房間。既然隨身攜帶電話，那用它舉行認證也就是自然而然的事了。安好令牌和其它的雙因子認證設備輕易損失或忘卻攜帶，況且用戶也不想身上帶一堆東西。而手機即便損失，也能就近買到替代的。

用戶夢想使用任何設備都能自由登陸，如家用電腦、便攜式計算機和移動電話，也夢想在任何地方都能登陸，如咖啡館、機場、遠程辦公室和客戶端網(wǎng)站。多種多樣的設備和連接方式給IT部門提出了重大挑戰(zhàn)，并且用戶對便當性的要求還在日益增加?；陔娫挼恼J證恰恰能供給這種生動性，一個電話可用于任何應用、任何設備和地球上任何地方舉行認證。

（二）安好穩(wěn)當

電話的根本用途是相互通信，因而能供給諸多其它方式所不能供給的穩(wěn)當?shù)亩嘁蜃诱J證方法。并且，隨著電話技術的進步，能供給的認證方法還在不斷增加。此外，由于電話采用獨立的設備和通道，這種帶外對其次個因子舉行認證的方法能有效制止中間人和欣賞器中間人攻擊。

電話網(wǎng)絡供給了動態(tài)的雙向通信通道，從而可以驗證特定的信息，為安好增加了多一層的保障。重要的登陸和交易細節(jié)可以轉(zhuǎn)發(fā)給用戶舉行再次確認。只有基于電話的、帶外的解決方案才使得這種雙向通信不僅可行，而且安好。

這種開放的通信方式還能實現(xiàn)對第三個認證因子的精確確認。在打電話舉行認證時，假設同時對用戶的聲波紋舉行匹配，就實現(xiàn)了生物學特征認證，還能節(jié)省指紋掃描器之類的硬件設備。

（三）本金低廉

安好令牌需要生產(chǎn)、運輸、庫存和更新?lián)Q代，需要IT資源來部署和支持。安好令牌每年的損失率達10%，每2-5年就務必對過期的令牌舉行更換，這些IT部門的支出都是令牌解決方案總本金中的材料本金。

基于電話的認證不需要部署設備，能快速應用于大量的、分布在不同地區(qū)的用戶，并且創(chuàng)辦和維護的本金也低。

（四）可伸縮性

基于電話的多因子認證在現(xiàn)有的認證過程上增加了一個步驟。假設用戶名和密碼正確，數(shù)據(jù)中心的服務就會收到一個SSL苦求，然后通過撥打電話、發(fā)送短信或向用戶手機推送提示消息等手段，對用戶舉行認證，根據(jù)用戶的回應確定是否通過認證，并將認證結(jié)果發(fā)送給用戶。由于服務由數(shù)據(jù)中心和電信網(wǎng)絡供給支持，對單位來說，并未增加額外的軟件和硬件，因此用戶增加時，無需增加任何軟件、硬件設施，易于擴展；反之，當用戶裁減時，系統(tǒng)也能便當?shù)嘏e行縮減。

（五）易于集成

基于電話的多因子認證能與遠程訪問VPN、單點登陸、云應用、網(wǎng)上銀行、網(wǎng)站和定制應用等舉行快速集成，具有高度的適應性。譬如：

內(nèi)建對Citrix，Tivoli，CiscoVPNs，OutlookWebAccess，終端服務和IIS服務的支持。

Java，.Net，PHP，Perl，Ruby和web服務開發(fā)包的Web插件。

統(tǒng)一Web網(wǎng)關，為全體網(wǎng)站供給認證層而無需舉行任何修改。